Se c’è una costante nella guerra cibernetica moderna, è che l’anello più debole non è il firewall, ma l’essere umano. La recente campagna associata al malware PluggyApe ne è la prova definitiva. Attribuito al gruppo Void Blizzard (noto anche come Laundry Bear o UAC-0190), questo attore minaccia non sta cercando di violare le reti militari con exploit zero-day, ma sta “bussando alla porta” dei dispositivi mobili dei soldati travestito da operatore umanitario.
L’evoluzione non è tecnologica, ma psicologica: i vettori di attacco si sono spostati dalle email aziendali alle chat private di Signal e WhatsApp, e i lure (esche) non sono più falsi ordini di servizio, ma richieste di aiuto o offerte di supporto da finte organizzazioni benefiche.
L’attacco
Fino a poco tempo fa, il targeting militare standard prevedeva documenti esca con titoli come “Piani di turnazione” o “Aggiornamenti logistici”. PluggyApe ha cambiato registro. Gli operatori di Void Blizzard hanno compreso che il personale militare è ormai addestrato a diffidare degli allegati di lavoro non sollecitati. Tuttavia, sono molto meno diffidenti verso le interazioni “civili” e umanitarie, specialmente in teatri di conflitto attivo come l’Ucraina.
La nuova tattica prevede:
- Contatto su Mobile: L’attacco inizia su app di messaggistica (Signal/WhatsApp), percepiti dagli utenti come canali “sicuri” o fuori dal controllo dell’IT militare.
- Il “Social Engineering” della Fiducia: Gli attaccanti utilizzano account compromessi di reali operatori locali o numeri di telefono nazionali, parlando la lingua locale e simulando comunicazioni audio/video per abbattere le barriere di sospetto.
- Il Tema Charity: I domini malevoli (es. harthulp-ua[.]com) imitano fondazioni reali. La leva psicologica non è la paura (tipica del vecchio phishing), ma la solidarietà o la necessità di assistenza.
Anatomia di un’infezione mobile-to-desktop
Sebbene il vettore iniziale sia mobile (l’app di chat), l’obiettivo finale rimane spesso la compromissione della workstation o del dispositivo Android usato per scopi operativi. La catena di infezione osservata tra ottobre e dicembre 2025 mostra un raffinamento tecnico notevole:
- Payload: L’utente viene convinto a scaricare un archivio (spesso protetto da password per evadere la scansione automatica). All’interno, non c’è più il classico
.exe, ma file.pifo script che lanciano un interprete Python embedded. - PluggyApe Backdoor: Una volta eseguito, il malware stabilisce una persistenza discreta. La vera novità è l’uso del protocollo MQTT (spesso usato nell’IoT) per il Comando e Controllo (C2). L’uso di MQTT rende il traffico C2 molto difficile da distinguere dal traffico legittimo di sensori o app di messaggistica moderne, permettendo al malware di nascondersi in piena vista.
- Configurazione Dinamica: Gli indirizzi dei server C2 non sono hardcoded, ma recuperati dinamicamente da servizi pubblici come rentry.co, rendendo il takedown dell’infrastruttura estremamente difficile.
Il passaggio a PluggyApe evidenzia una falla nella postura di difesa attuale: il “Bring Your Own Device” (BYOD) e l’uso promiscuo dei dispositivi. Un ufficiale potrebbe avere un endpoint protection sul laptop, ma sul proprio smartphone, la protezione è spesso minima. Void Blizzard sfrutta questa zona grigia: compromette il dispositivo “personale” per esfiltrare dati di geolocalizzazione, contatti e, se collegato alla workstation (es. via USB o cloud sync), saltare lateralmente nella rete classificata.
